专利名称:无线网络中的用户终端硬件的数字证书的制作方法
技术领域:
本发明涉及硬件鉴别领域,更具体地,涉及无线网络中的终端鉴别。
背景技术:
硬件鉴别,有时也称为实体鉴别,是鉴别声称或假定的身份的过程。在无线接入网的环境中,硬件鉴别用来验证某实体确实是其声称的那个实体。例如,硬件鉴别可以验证声称具有特定的MAC地址的终端确实具有其声称的那个MAC地址。如果没有硬件鉴别,未授权用户终端便可以窃取无线接入网的资源,且合法用户终端和接入点之间的上行和下行链路通信便有可能被拦截和偷听。
当前,无线网络中的硬件鉴别由时变挑战-响应协议完成。在典型的挑战-响应协议中,申请人通过向验证器展示已知与该申请人有关的机密知识来证明其身份。
挑战-响应协议的一个问题是,验证器需要接入安全数据库来识别申请人应具有的机密。而且,这样的协议需要几次报文交换和在工作时加密,而这可以使网络访问变慢。
发明内容
无线接入网的用户终端可使用数字证书来向无线接入网的接入点证明其自身。在一个实施例中,该用户终端包括存储身份证书的存储器,而该身份证书由用户终端可用于鉴别的证书签名,其中,该身份证书至少部分地基于包括在上述用户终端内的硬件。在一个具体的实施例中,上述身份证书被捆绑到用户终端的序列号。
本发明是通过举例而非限制的方式进行说明的,在附图的各幅图中,相同的附图标记表示相同的单元,其中图1是无线接入网的简化框图,在该接入网中,可以实施本发明的一个实施例;
图2是根据本发明的一个实施例的鉴别协议的简化流程图;图3是根据本发明的一个实施例的、基于身份证书的鉴别的简化流程图;图4是根据本发明的一个实施例的服务证书下载的简化流程图;图5是根据本发明的一个实施例的会话证书授予的简化流程图;图6是接入点的简化框图,在该接入点上,可以实施本发明的一个实施例;并且图7是用户终端的简化框图,在该用户终端上,可以实施本发明的一个实施例。
具体实施例方式
无线接入网现在,结合图1来描述可以实施本发明的实施例的示范系统。图1示出了无线接入网100。无线接入网可用于提供到网络102或任何其它数据网络(如LAN或WAN)的接入。
无线接入网100包括无线接入点104(″AP″),以允许终端用户设备106(″EUD″)使用无线用户终端108(″UT″)进行通信。EUD106通常是移动计算设备,如膝上型计算机或笔记本电脑、个人数字助理(″PDA″),或蜂窝电话。然而,EUD106可以是任何其它计算装置,如台式计算机或工作站。
可以将UT108实施为独立单元,如PCMCIA卡或盒,或将其集成到EUD106主体之中。一个UT108可以仅为一个EUD106或一组EUDs106提供通信。UT108是类似于调制解调器的通信设备。UT108可负责无线电通信和物理层信号处理。更高级别的处理可以由UT108或主机EUD106执行。
UT108可使用无线电信号与AP104进行无线通信。AP可以是蜂窝基站、802.11接入点,或其它无线系统接入点(如i-BurstTM基站)。多个AP可通过交换机110或路由器连接,以将上述连接集中于因特网服务提供商(″ISP″)112,和当UT108从一个AP104区域移动到另一个AP区域中时促进切换。
ISP,特别是美国在线、Prodogy和SBC促进了到因特网102的接入。EUD106的用户向ISP112订购因特网服务。无线接入网100则允许这些用户以无线的方式接入因特网102。
在一个实施例中,交换机110也与管理服务器(″MS″)114耦合。MS114可以执行各种网络管理功能,例如服务授权,统计数据汇集,和用于UT108的空中(overthe air)配置。
图1是高度简化的框图。在真实的网络中,可存在交换机110与集线器组成的分层结构,且这些交换机和集线器将成千上万的AP104与各个ISP112连接在一起。此外,本发明的实施例不必在严格的无线接入网环境中实施。例如,本发明的一个实施例可以在无线对等网中实施。然而,在鉴别期间,一个同位体将作为AP104,而另一个同位体将作为无线接入网的UT108。
鉴别协议在图2中,示出了一种示范的鉴别协议,在该协议中可使用本发明的实施例。图2也包括了对实施本发明而言并非必需的细节,本文中,为清楚和背景说明的目的而提供了这些细节。结合图2所述的过程和报文交换主要与UT108的鉴别有关。然而,该过程也可以导致对AP104的鉴别和之后用于加密的共享机密的交换。
当UT108到达AP104的覆盖区时,它便开始注册过程。注册是一种关系,它使得UT108能够与AP104交换通信流。结合图2所述的鉴别协议是上述注册过程的一部分。
因为结合图2所述的鉴别协议是基于证书的,因而在注册开始之前,UT108和AP104均获得了由一个或多个可信实体(如证书授权机构(“CA”))分派的至少一张数字证书。数字证书是由CA签名的文本报文。该签名可以是用CA的私钥加密的文本报文的摘要,仅该CA可使用该私钥,但该摘要可以由任何得知该CA公开的公钥的实体进行验证。
为鉴别证书,可用公开的CA公钥解密签名,并计算上述文本报文的摘要。如果这两个文本报文字符串匹配,则该证书确实是由CA签名的。存在商业化的CA(如VeriSign有限公司),或者,网络运营商可创建其自身的CA。公钥加密技术和其创建与验证数字证书的用途是众所周知的。
在一个实施例中,UT108不具有独立的时间基准,并且从AP104接收其对于时间的认知。例如,AP104可包括广播突发或一些寻址到UT108的通信中的绝对帧编号(absolute frame number)。
在框202中,当UT104接收AP证书时,可开始鉴别协议。AP证书可包括AP104的身份,如AP104的介质存取控制(MAC)地址,它唯一地或者在网络范围内识别AP104。该证书也包括AP公钥,该公匙与AP104的私钥对应。AP104可以使用用于不同的UT108的不同公/私钥对。如上所述,AP证书由UT108信赖的CA签名。
在框204中,UT108产生共享机密。该共享机密仅为这一点处的UT108所知,并将仅与AP104共享。可使用随机数序列发生器产生随机序列形式的共享机密。在一个实施例中,随后将该共享机密的至少一部分用作主机密,以使用对称密钥加密技术加密UT108和AP104之间的通信。建立用于对称密钥加密技术的上述机密的必要性是众所周知的。
在框206中,UT108产生鉴别码字符串。鉴别码字符串的一个关键目的是证明UT108具有与包括在UT证书中的UT公钥对应的UT私钥。因为CA证明该公钥属于UT108,因而具有对应私钥的设备是真实的UT108。
存在许多能证明对UT私钥的拥有的、可能的鉴别码字符串。例如,UT可以用私钥加密一部分共享机密。在一个实施例中,UT108可以产生鉴别码报文,并用UT私钥为其签名。如果AP104可以独立地产生鉴别码报文,则该鉴别码字符串可以仅仅是签名。
在框208中,UT108对由CA给予的UT证书进行加扰。该UT证书包括UT108的标识符(如其MAC地址),和与用于对鉴别码字符串进行签名的私钥有关的公钥。该证书可以包括各种其它数据字段,这些数据字段包含有关UT 108的信息。对UT证书进行加扰的一个原因是隐藏UT标识符。这使得跟踪UT108变得困难。
在一个实施例中,使用共享机密的至少一部分对该UT证书进行加扰。在一个实施例中,用于加扰的共享机密的那些位不再用于之后的对称密钥加密。例如,指定的共享机密的加扰位可用于植入(seed)线性反馈移位寄存器,该线性反馈移位寄存器的输出可用来对UT证书加扰。在一个实施例中,将由线性反馈移位寄存器产生的位与UT证书的位进行异或运算。
在框210中,UT108用在框202中接收的AP证书中包含的AP公钥加密在框204中产生的共享机密。在一个实施例中,在框212中,该UT也产生时间戳。该时间戳表示UT108所知的时间。在一个实施例中,如上所述,UT108从AP104得到其对时间的认知。
在框214中,UT108将报文发送到AP104,AP104可用该报文鉴别UT108。在一个实施例中,该报文包括在框204中产生并在框210中加密的共享机密、由CA颁发的并在框208中加扰的UT证书,和在框206中产生的鉴别码字符串。此外,该报文还可以包括在框212中产生的、以防止重放攻击(replay attack)的时间戳。
在一个实施例中,该报文是UT参数报文,除上述的内容以外,它也包括各种其它信息,且其中一些信息可以用AP公钥加密。例如,该UT参数报文也可包括UT108的通信性能和偏好等参数。
图2中的框的次序仅表示一个实施例,而绝非是对本发明的限制。在一些实施例中,可预先计算将包括在UT参数报文中的几个值,而这将导致以不同次序来执行某些框。且其它框可以被完全省略。例如,如果UT108已具有可信的时间基准(例如,当UT108已具有来自经过鉴别的AP104的时间时),框226、或许还有框212可以被省略。而且,UT108可能具有缘于在先注册的AP证书的存储的副本。在这种情况下,框202可能已被执行。在一个实施例中,对几个经常访问的AP104而言,UT108存储AP证书,或至少存储AP公钥。
在一个实施例中,在注册开始之前,UT108在框204中产生了共享机密。在其它实施例中,可以产生用于不同接入点104的多个共享机密。在一个实施例中,在接收AP证书(框202)之前,UT108产生共享机密(框208),并用几个保存在存储器中的存储的AP公钥对该机密进行加密(框210)。而且,在注册开始之前,并且当然在框202中接收AP证书之前,一旦产生了共享机密(框204),则可用该机密对UT证书进行加扰(框208)。在其它实施例中,在框202中接收AP证书之前,可以在框206中产生鉴别码字符串。
如上所述,由UT108执行的图2的各个框可以按各种次序来执行,且本发明不限于任何特定的事件流程。在注册开始之前,或在等候来自AP104的协议响应时,可以预先计算各个值。而且,可并行地执行某些框,同时,可以交换其他框的次序。通过猜测AP的身份与公钥来预先计算各个值和以推测方式加密共享机密,可以进一步提高鉴别协议的速度和效率。
再次参考图2,在框216中,AP104接收由UT108发送的UT参数报文。在框218中,该AP使用其私钥解密该共享机密。在该AP拥有该共享机密后,在框220中,该AP可以对UT证书进行解扰。由于该共享机密的至少一部分被用于加扰UT证书,因而仅AP104可以解扰该证书,因为仅AP104具有解密该共享机密必需的AP私钥。
在框222中,该AP通过检查CA签名和任何与UT证书有关的有效期来鉴别该UT证书。如上所述,该UT证书包括UT公钥,且该CA签名可确保将该UT公钥分派给具有标识符(如MAC地址)的UT,而UT证书中也包括了上述标识符。
在框224中,AP104对UT108进行鉴别。而这可以通过使用鉴别码字符串验证UT104拥有与UT证书中的UT公钥相应的UT私钥来实现。在一个实施例中,该鉴别码字符串是鉴别码报文的UT签名。该UT签名可以是摘要,即用UT私钥加密的鉴别码报文的散列(hash)。其它数字签名也是可能的,例如,用UT私钥加密整个鉴别码报文,或加密其一部分。
在一个实施例中,AP104可以独立地产生鉴别码报文和鉴别码报文摘要。在这种情况下,AP104用UT公钥解密鉴别码字符串,产生鉴别码报文的摘要,并将解密的鉴别码字符串与独立产生的鉴别码报文摘要进行比较。以这种方式,AP104可以验证UT108拥有与UT证书中的UT公钥配套的UT私钥。
在一个实施例中,UT108也可以请求时间确认。在这样一个实施例中,当UT上电时,UT108对时间的认知得自AP104。因此,至少在进行冷启动时(但在其它情况下也一样),未被授权的AP可以使用到期的证书,并且向UT提供伪时间基准,该时间基准使得该证书似乎是有效的。为缓解这个问题,UT108可以请求询问AP104验证在框212中由通过UT108产生的时间戳。
如果UT108请求时间验证,则在框226中,AP可以对该时间戳进行验证。该时间戳可以被归入UT参数报文,作为对重放攻击的保护,但它也可以用于时间确认。在一个实施例中,在框226中,AP104通过将时间戳转发到可信的时间服务器(″TS″)来执行时间确认。该TS为UT108所信赖,它可以是CA,或任何已知由网络运营商或者其它可信实体运营的服务器。
在一个实施例中,TS对该时间戳进行确认,并将其发送回AP104,AP104又将该时间戳转发至UT108。在一个实施例中,在框228中,AP104将注册参数报文发送至UT108,该注册参数报文包括各种注册参数-如随机存取信道、寻呼标识符和注册标识符-并且该被确认的时间戳被包括到该报文之中。在其它实施例中,TS可以将该确认直接(或通过AP104外的其他手段)发送到UT108。
根据结合图2所述的一个实施例,AP104可使用来自UT108的单个报文鉴别UT108。在一个实施例中,为对称密码加密而使用共享机密(或其一部分)来加密UT108与AP104之间的所有另外的通信。在这种情况下,在框228中,当AP104发送注册报文时,暗中对AP104进行鉴别,因为除UT108之外,只有拥有AP私钥的该AP才具有该共享机密。
用户终端证书以上,对鉴别过程期间UT108提供给AP104的、由CA签名的UT证书进行了详细说明。在一个实施例中,存在在不同时间使用的各种不同的UT证书。在一个实施例中,UT108拥有的最初的UT证书可称作身份证书。
在一个实施例中,身份证书被捆绑到UT108的硬件。UT108的一个硬件标识符是其序列号。更具体地说,UT108的硬件是由其以太网地址(或其根据其它全球寻址系统的硬件身份码)唯一地识别的。在一个实施例中,该唯一的硬件身份码(如序列号)被纳入身份证书的明文中。示范的身份证书可包括如下字段1.证书授权机构标识符-识别用于鉴别的CA。
2.证书类型-规定证书类型,例如″身份″。
3.证书的序列号-由CA分派的值,在证书的有效期内,它唯一地识别由该CA颁发的任何证书。
4.有效期-设置到期时间。
5.UT序列号-硬件地址,该地址识别拥有该证书的UT。例如,将该地址设定为UT的IEEE以太网MAC地址格式。
6.UT公开身份密钥-该公钥用于将加密的报文发送到UT。
该示范的身份证书的字段5将该证书与UT108的硬件进行捆绑。这样的身份证书是唯一的,从而可防止对具有身份证书的UT108的复制(即未授权的冒充)。而且,因为身份证书不须知道EUD106的用户预订的ISP112(或用于接入ISP112的无线接入网100),因而由UT的生产商在工厂阶段将该身份证书植入UT108中。从而,它可用于最初的鉴别。
这样的鉴别是结合图3来描述的。在框310中,UT108中植入了身份证书,且该证书依赖于所制造的UT硬件。可通过在UT108的主存储器或安全存储器中存储由CA签名的证书来实现植入该身份证书。
在框320中,如图2的框214中发送的一部分报文那样,将身份证书从UT108发送给AP104。然后,如结合图2的框222所述的那样,在框330中,AP104使用作为UT证书的身份证书来鉴别UT108。以这种方式,不必考虑生产商或者服务提供商,AP104便可对UT108进行鉴别,而这使得UT108能在全球范围内漫游到信任CA的任何网络。
另一类UT证书可称作服务证书。在一个实施例中,除身份证书以外,还可获得服务证书。在其它实施例中,它可以是唯一的UT证书。该服务证书也由CA签名,并可由ISP112颁发给UT108。
服务证书包括UT108的预订标识符,该标识符对应于UT向ISP112发出的预订。除以上所示的身份证书的字段外,示范的服务证书可包括由ISP112分派的包括UT108的国际移动业务标识符(IMSI)在内的字段。也可以使用其它标识符。
在一个实施例中,该服务证书指明了通过上述预订而提供给UT108的服务的质量或等级。例如,如果使用UT108连接到ISP112的EUD206的用户选择预订一个高速数据会话和一个语音会话,则可以在服务证书中的与预订标识符相同的字段(或不同于该字段的独立字段)中引入表示该服务等级的代码。
由于在制造UT108时不知道预订标识符和服务等级,因而需要在之后下载这些信息。在一个实施例中,使用身份证书(或工厂植入的其他UT证书)来完成下载。这样的过程的一个实施例是结合图4来进行描述的。在框410中,AP104从首次注册的(或当前不具有预订的)UT108接收工厂植入的证书(如身份证书)。
在框420中,以类似于以上结合图3的框330所述的方式来鉴别UT108。在一个实施例中,使用工厂植入的证书来提醒AP104或MS114这是用于网络接入的首次登录。从而,UT108可以被引导至预订服务,如ISP112。因此,在框430中,AP104允许在UT108和ISP112之间的连接。
在用户与ISP112交换预订信息(选择的服务等级和信用卡号)后,ISP112使用从UT108接收的证书创建UT108的服务证书。为实现此目的,ISP112将预订标识符(如IMSI)分派给UT108。此外,ISP112也可以将表示预订的服务等级的代码分派给UT108。这些值被加到新证书的明文中,然后,由ISP112信赖的CA为该新证书签名。
在框440中,将该新证书(服务证书)从ISP112发送到AP104,以便进行初始连接。在框450中,AP104将服务证书转发给UT108,后者将它保存在存储器中,以用于将来的鉴别。使用该服务证书,UT108可以在单次通信中向AP104和ISP112证明其身份。而且,AP104可基于该服务证书确定其应当提供给UT108的服务的质量。在使用工厂植入的证书的情况下,采用其他方法均不能取得上述效果。
在基于证书的鉴别方案中,接入网100必须在各个节点-如AP104、交换机110或MS114-处保存证书撤销清单(CRL),以记录尚未到期但已经作废的证书。例如,如果UT108的用户允许他的预订失效,则不得不取消其下载的服务证书,即使它的有效期还没有届满。因此,服务证书的有效期越长,则CRL必须越长。
因为CRL耗费物理资源(如存储器)和计算资源(如搜索),所以希望CRL较短而不是较长。然而,通过减少服务证书的有效期来使CRL较短将需要使用结合图4所述的过程频繁下载服务证书。这意味着,每当服务证书到期(要让CRL较短,一天之内将有几次到期)时,便需要新的预订或对预订进行鉴别。
根据本发明的一些实施例,无须缩短服务证书的有效期便可使AP104的CRL变短。在一个实施例中,取决于允许UT108同时维持的授权会话数目,由ISP112向UT108分派一个或多个会话证书。除服务证书的其他字段以外,会话证书可包括与UT108将进行的会话有关的会话标识符。例如,会话标识符可在UT108内唯一地识别点到点协议(PPP)会话。
结合图5描述了使用会话证书的鉴别的一个实施例。在框510中,ISP112从新用户接收最初的预订请求。在框520中,准许了该预订。在这个例子中,服务等级是两个并行会话,一个用于高速数据通信,一个用于基于IP的话音(VOIP)通信。在框530中,ISP112将预订标识符分派给UT108,并产生服务证书和将该证书传送给UT108。
在框540中,除服务证书外,ISP112也提供两张会话证书,其中,每个允许的会话均拥有一张证书,且每个允许的会话均具有唯一的会话标识符。该会话证书的有效期比服务证书的有效期短。在一个实施例中,每张会话证书仅对单个对话有效。特别地,拥有会话证书有助于防止移交期间的会话偷窃(theft),因为每个授权的会话必须由证书进行鉴别。
当因为会话证书已经到期,UT108请求更多的会话证书时,UT向ISP112提供服务证书。在框550中,ISP112通过检查ISP112管理实体中的CRL来确定服务证书是否有效。如果它仍然有效,则如同框540中那样,ISP112创建新的会话证书,并将它们提供给UT。
如果因服务证书已被撤消致使它不再有效,则在框560中ISP112拒绝提供服务给UT108。然后,可提示UT108产生身份证书,以对其进行鉴别和准许新的预订。从而,当需要检查可能较长的CRL(用于服务证书)时,由ISP112执行该搜索。当对UT108进行鉴别时,在大部分时间内,AP104仅需搜索相对较短的会话证书CRL。
接入点结构现在描述无线接入网的AP104和UT108的实施例。图4示出了适于实施本发明的无线接入网或者蜂窝通信网的AP的例子。该系统或者网络包括一些用户站,也称为远程终端或UT,如图1所示的、并在图7中详细说明的UT108。AP可以通过其主DSP31连接到广域网(WAN)或因特网,以便向即时无线系统外部提供任何需要的数据业务与连接。为支持空间分集,使用多个天线3(如四个天线),尽管也可选择其它数目的天线。
将用于每个用户站的一组空间复用权重应用于各自的调制信号,以产生将由上述四个天线的组发送的空间复用信号。主DSP31产生和维护每条常规信道的每个用户站的空间签名,并使用接收的信号测量值计算空间复用和去复用权重。以这种方式,分离了来自当前运行的多个用户站(其中一些用户站在相同的常规信道上运行)的信号,并抑制了干扰和噪声。当从AP至用户站进行通信时,创建了适于当前运行的用户站连接和干扰情形的优化的多瓣天线的辐射图。在1998年10月27日授予Ottersten等人的美国专利No.5,828,658和1997年6月24日授予Roy,III等人的美国专利No.5,642,353中描述了用于实现这样的空间定向波束的合适的智能天线技术。可以以任何方式划分所使用的信道。在一个实施例中,可以以GSM(全球移动通信系统)空中接口,或任何其它时分空中接口协议(如数字蜂窝、PCS(个人通信系统)、PHS(个人手持电话系统)或WLL(无线本地环路))中定义的方式来划分所使用的信道。另外,可使用连续的模拟信道或CDMA信道。
上述天线的输出连接到双工交换机7,在TDD实施例中,该交换机可以是时间交换机。该双工交换机的两个可能的实施例是频分双工(FDD)系统中的频率双工器和时分双工(TDD)系统的时间交换机。当接收时,上述天线的输出通过双工交换机连接到接收器5,并且由RF接收器(″RX″)模块5以模拟方式从载波频率下变频为FM中间频率(″IF″)。然后该信号由模-数转换器(″ADC″)9进行数字化(采样)。最后,上述信号被数字地下变频为基带信号。可用数字滤波器来执行上述下变频和数字滤波,其中,后者采用了有限脉冲响应(FIR)滤波技术。该过程如框13所示。本发明可适用于多种RF和IF载波频率和频带。
在本实例中,存在来自每个天线的数字滤波器13的八个下变频输出,其中,每个接收时隙具有一个输出。可改变时隙的特定数目,以适应网络的需要。尽管GSM为每个TDMA帧使用八个上行链路和八个下行链路时隙,但也可用每个帧的上行链路和下行链路的任何数目的TDMA时隙实现所希望的结果。根据本发明的一个方面,对八个接收时隙中的每个时隙而言,将来自四个天线的四个下变频输出馈送至数字信号处理器(DSP)17(以下称″时隙处理器″),以进行进一步处理,包括校准。可以将八块摩托罗拉DSP56300族DSP作为时隙处理器使用,每个接收时隙分配一块上述处理器。时隙处理器17监视接收的信号功率,并估计频偏和时间校准。它们也为每个天线单元确定智能天线权重。在SDMA方案中,这些权重用于确定来自特定的远方用户的信号和解调该确定的信号。
时隙处理器17的输出被解调为用于八个接收时隙的每个时隙的突发数据。该数据被发给主DSP处理器31,后者的主要功能是控制该系统的全部单元和与更高级处理接口,而上述处理涉及对多个信号的处理,其中,这些信号是在系统的通信协议所定义的所有不同的控制与服务通信信道中进行通信所需的信号。主DSP31可以是摩托罗拉DSP56300族DSP。此外,时隙处理器将用于每个UT的、确定的接收权重发送到主DSP31。主DSP31保存状态和定时信息,从时隙处理器17接收上行链路的突发数据,并对时隙处理器17进行编程。此外,它解密、解扰和检查纠错码,并解构上行链路的突发信号,然后将要被发送的上行链路信号格式化,以用于在AP的其他部分进行更高级处理。而且,DSP31可包括储存数据、指令、跳跃函数(hopping function)或序列的存储单元。另外,AP可具有独立的存储单元或可访问辅助的存储器单元。相对于AP的其他部分,它格式化服务数据和业务数据,以便在AP中进行另外的更高级处理,从AP的其他部分接收下行链路报文和业务数据,处理下行链路突发并且格式化下行链路突发,将下行链路突发发送到发送控制器/调制器(在图中示出为37)。主DSP也管理AP的其它部分的编程,这些部分包括发送控制器/调制器37和在图中示出为33的RF定时控制器。
如框45所示,RF定时控制器33与RF系统接口,并产生一些由RF系统和调制解调器使用的定时信号。RF控制器33读取并发送功率监视和控制值,控制双工器7,并从主DSP31接收定时参数和其他设置值。
发送控制器/调制器37接收来自主DSP31的发送数据。发射控制器使用该数据产生模拟IF输出,该输出被发送到RF发射器(TX)模块35。具体地,接收的各数据位被转换为复调制信号、上变频为IF频率、经过采样和乘以从主DSP31获得的权重,并通过作为发送控制器/调制器37的一部分的数模转换器(″DAC″)转换为模拟发送波形。这些模拟波形被送往发射器模块35。发射器模块35将这些信号上变频为传输频率,并且放大这些信号。然后,通过双工器/时间交换机7将放大后的传输信号输出发送给天线3。
用户终端结构图5示出了提供数据或语音通信的UT内的示范性部件配置。用户终端的天线45被连接到双工器46,以允许天线45用于传输和接收。该天线可以是全向或定向的。为获得最优性能,该天线可以由多个单元组成,并采用上述的、用于AP的空间处理。在一个备选实施例中,使用单独的接收和发射天线,这消除了对双工器46的需求。在另一个使用时分双工的备选实施例中,业内众所周知的是,可使用发射/接收(TR)交换机代替双工器。双工器输出47被作为接收器48的输入。接收器48产生下变频信号49,该信号被输入到解调器51。然后,将解调后的接收声音或语音信号67输入到扬声器66。
用户终端具有相应的发射链,在其中,将要发送的数据或语音在调制器57中调制。由调制器57输出要发送(59)的调制信号,且该信号由发射器60进行上变频和放大,从而产生发射器输出信号61。然后,将发射器输出61输入至双工器46,以通过天线45发送。
将解调后的接收数据52提供给用户终端的中央处理单元68(CPU),作为解调50之前接收的数据。可以用标准的DSP(数字信号处理器)设备(如摩托罗拉56300族DSP)实现用户终端的CPU68。该DSP也可以执行解调器51和调制器57的功能。用户终端的CPU68通过线路63控制接收器,通过线路62控制发射器,通过线路52控制解调器,并通过线路58控制调制器。它也通过线路54与键盘53通信,并通过线路55与显示器56通信。对语音通信用户终端而言,麦克风64与扬声器66分别通过线路65与66和调制器57与解调器51相连。在另一个实施例中,该麦克风和扬声器与CPU直接通信,以提供语音或者数据通信。而且,用户终端的CPU68也可包括储存数据、指令、跳跃函数或序列的存储单元。另外,用户终端可具有单独的存储单元或可以访问辅助的存储器单元。
在一个实施例中,通过业内众所周知的数字接口来代替或扩充扬声器66和麦克风64,该数字接口允许将数据发送至外部的数据处理设备(如计算机)和从该设备接收数据。在一个实施例中,用户终端的CPU与到外部计算机的标准的数字接口(如PCMCIA接口)耦合,且显示器、键盘、麦克风和扬声器是该外部计算机的一部分。用户终端的CPU68通过上述数字接口与外部计算机的控制器和这些部件通信。对仅涉及数据的通信而言,可取消麦克风和扬声器。对仅涉及语音的通信而言,可取消键盘和显示器。
一般内容在以上的描述中,为说明的目的,陈述了许多细节,以便让读者彻底理解本发明。然而,对本领域技术人员而言,很明显的,在不具备某些上述细节的情况下也可以实施本发明。在其它方面,以框图形式示出了众所周知的结构和设备。
该本发明包括各种步骤。本发明的步骤可通过硬件部件(如图6和图7所示的硬件)执行,或可以在可由机器执行的指令中得到实施,其中,这些指令可促使通用或专用处理器或经上述指令编程的逻辑电路执行上述步骤。另外,上述步骤可以由硬件与软件的组合来执行。已将上述步骤描述为通过AP或UT来执行。然而,许多描述为通过AP来执行的步骤可通过UT来执行,反之亦然。而且,同样可将本发明应用于这样的系统在其中,无需将任一个终端指定为AP、UT、用户终端或用户站,各终端便可以进行相互通信。因此,在通信设备组成的对等无线网络中本发明同样是有用的。在这样的网络中,在上述鉴别协议执行期间,这些设备将轮流以上述的UT和AP的方式运行。这些设备可以是蜂窝电话、个人数字助理、膝上型电脑,或任何其它无线设备。通常,因为AP和UT使用无线电波,因而它们有时被称为无线电设备。
在上述的各部分中,仅AP被描述为使用天线阵列来进行空间处理。然而,在本发明的范围内,UT也可以包括天线阵列,并同样可以在接收和发送(上行链路和下行链路)时进行空间处理。
可提供计算机程序产品形式的本发明的实施例,该产品可包括存储了指令的可机读介质,其中,可以用这些指令来对计算机(或其它电子设备)编程,以执行根据本发明的过程。上述可机读介质包括但不限于软盘、光盘、CD-ROM、磁光盘、ROM、RAM、EPROM、EEPROM、磁卡或光卡、闪存,或其它类型的、适于存储电子指令的介质/可机读介质。而且,也可以下载计算机程序产品形式的本发明,在其中,通过通信链路,可以将该程序经由包含于载波或其他传播介质中的数据信号从远方的计算机传输至发出请求的计算机。
以最基本的形式描述了许多方法和计算,但在不背离本发明的基本范围的情况下,任何方法均可增加或删除步骤,且任何所述的报文信号也可添加或减少信息。对本领域技术人员而言,显而易见,可以进行许多另外的修改和变更。提供上述具体实施例不是为了限制本发明,而是为了对本发明进行说明。因而,本发明的范围不应由以上提供的具体实施例来确定,而仅应由以下的权利要求来确定。
应当理解,贯穿于本说明书始终的“一个实施例”或“实施例”意味着在本发明的实施过程中可引入某个特定的特征。类似地,应当理解,在对本发明的示范性实施例的之前说明中,为使公开更为简明和促进对一个或多个发明方面的理解,有时将本发明的各个特征集中在单个实施例、附图或其说明之中。然而,不应将这种公开方法理解为反映了这样一种意图即主张得到保护的发明要求的特征比在每项权利要求中明确指出的特征更多。相反地,如以下的权利要求所反映的,发明的各个方面体现的特征少于之前公开的单个实施例的所有特征。从而,便可以将紧接本说明书的权利要求明确地与本说明书进行结合,其中,就其自身而言,每个权利要求均可作为本发明的单独的实施例。
权利要求
1.一种能够与无线接入网通信的用户终端,该用户终端包括存储身份证书的存储器,所述身份证书由所述无线接入网的接入点用来鉴别所述用户终端的证书授权机构签名,所述身份证书至少部分地基于包括在所述用户终端内的硬件。
2.如权利要求1所述的用户终端,其中,所述身份证书包括所述用户终端的序列号。
3.如权利要求2所述的用户终端,其中,所述序列号包括所述用户终端的介质存取控制(MAC)地址。
4.如权利要求1所述的用户终端,其中,所述身份证书由工厂植入到所述用户终端的存储器之中。
5.如权利要求1所述的用户终端,其中,所述身份证书为多个无线接入网络鉴别所述用户终端。
6.一种方法,包括通过无线接入网的接入点,使用由证书授权机构签名的身份证书来鉴别所述无线接入网的用户终端,且所述身份证书被捆绑到用户终端的硬件。
7.如权利要求6所述的方法,其中,捆绑到用户终端的硬件的所述身份证书包括包含所述用户终端的序列号的身份证书。
8.如权利要求7所述的方法,其中,所述序列号包括所述用户终端的介质存取控制(MAC)地址。
9.如权利要求6所述的方法,还包括使用所述身份证书通过第二无线接入网的接入点来鉴别所述用户。
10.如权利要求6所述的方法,其中,所述身份证书由工厂植入到所述用户终端内。
11.一种无线接入网的接入点,所述接入点包括接收器,从能够与请求访问的无线接入网通信的用户终端接收鉴别码报文,所述鉴别码报文包括由证书授权机构签名的所述用户终端的身份证书,所述身份证书被捆绑到用户终端的硬件;和与所述接收器耦合的处理器,以使用所述身份证书鉴别所述用户终端。
12.如权利要求11所述的接入点,其中,捆绑到用户终端的硬件的所述身份证书包括包含所述用户终端的序列号的身份证书。
13.如权利要求12所述的接入点,其中,所述序列号包括所述用户终端的介质存取控制(MAC)地址。
14.如权利要求11所述的接入点,其中,所述身份证书由工厂植入到所述用户终端内。
15.一种植入到能够与无线接入网通信的用户终端内的数字证书,所述证书包括所述用户终端的序列号;为所述证书签名的证书授权机构的标识;和被标识的证书授权机构的签名。
16.如权利要求15所述的证书,其中,所述序列号包括所述用户终端的介质存取控制(MAC)地址。
17.如权利要求15所述的证书,其中,所述证书为多个无线接入网鉴别所述用户终端。
18.一种存储表示指令的数据的可机读介质,当所述指令由无线接入网的接入点的处理器执行时,将促使所述处理器执行操作,所述操作包括使用由证书授权机构签名的身份证书来鉴别无线接入网的用户终端,所述身份证书被捆绑到用户终端的硬件。
19.如权利要求18所述的可机读介质,其中,捆绑到用户终端的硬件的所述身份证书包括包含所述用户终端的序列号的身份证书。
20.如权利要求19所述的可机读介质,其中,所述序列号包括所述用户终端的介质存取控制(MAC)地址。
21.如权利要求18所述的可机读介质,其中,所述指令还促使所述处理器使用所述身份证书通过第二无线接入网的接入点来鉴别所述用户。
22.如权利要求18所述的可机读介质,其中,所述身份证书由工厂植入到所述用户终端内。
全文摘要
无线接入网(100)的用户终端(108)可使用数字证书来向无线接入网(100)的接入点(104)证明其自身。在一个实施例中,用户终端(108)包括存储身份证书的存储器,该身份证书由用户终端(108)用于鉴别的证书签名,其中,上述身份证书至少部分基于包括在用户终端(108)内的硬件。在一个具体实施例中,上述身份证书被捆绑到用户终端的序列号。
文档编号H04L29/06GK1894885SQ200480037532
公开日2007年1月10日 申请日期2004年10月18日 优先权日2003年10月17日
发明者B·N·米恩齐亚, M·C·多甘, M·H·戈德伯格 申请人:阿雷伊通讯有限公司